TL; DR: No, no es seguro.
Es importante tener una ID separada para cada dispositivo, porque si les das la misma, no hay nada que impida que el dispositivo la recuerde después de que el usuario cierre la sesión.
Y lo que es más importante, solo cambiar el ID de sesión cuando los usuarios cambian la contraseña es catastróficamente malo. La identificación puede ser robada mucho más fácilmente que una contraseña. Las sesiones deben expirar; de lo contrario, se debe tener una consideración especial, por ejemplo, permitiendo a los usuarios cerrar sesión desde dispositivos a los que ya no tienen acceso.
PS: También asumo que tus ID de sesión son aleatorias. Si son secuenciales, también necesita algún tipo de token / secreto para autenticarse, de lo contrario, un atacante puede pasar por todos los identificadores y obtener datos. Tenga en cuenta que el uso de ID aleatorias puede ser preferible, ya que los atacantes aún pueden obtener cierta información, como el número de usuarios registrados, si las ID no son aleatorias. También puede usar el secreto además de la identificación aleatoria, no puede hacer daño y puede ayudar, ¿por qué no?